Una firma de seguridad cibernética está criticando a Microsoft por supuestamente tomar demasiado tiempo para parchear una vulnerabilidad grave que ha amenazado a los clientes empresariales de la compañía durante meses.
“Microsoft afirma que solucionarán el problema a fines de septiembre, cuatro meses después de que les notifiquemos”, escribió Amit Yoran, director ejecutivo de Tenable.(Se abre en una nueva ventana) en una publicación del miércoles en LinkedIn.
Según Yoran, un investigador de seguridad de Tenable descubrió una falla «crítica» en la plataforma de computación en la nube Azure de Microsoft en marzo. la vulnerabilidad(Se abre en una nueva ventana) podría permitir que un pirata informático acceda a aplicaciones y datos confidenciales, incluidos los secretos de autenticación, de clientes empresariales que usan Azure.
“Para darle una idea de lo malo que es esto, nuestro equipo descubrió muy rápidamente los secretos de autenticación de un banco”, dijo Yoran.
Tenable notificó a Microsoft sobre el problema, temiendo que la vulnerabilidad pudiera ayudar a un pirata informático a violar numerosas redes de clientes. Pero según Yoran, Microsoft tardó en implementar un parche y luego no solucionó el problema por completo.
«Tomaron más de 90 días para implementar una solución parcial, y solo para las nuevas aplicaciones cargadas en el servicio», alega. «Eso significa que a partir de hoy, el banco al que me referí anteriormente sigue siendo vulnerable, más de 120 días desde que informamos el problema, al igual que todas las demás organizaciones que habían lanzado el servicio antes de la corrección».
Yoran publicó la publicación del blog días después de que el senador Ron Wyden criticara duramente a Redmond por «prácticas negligentes de ciberseguridad» después de que los piratas informáticos patrocinados por el estado violaran los servicios de Microsoft dos veces: una durante el hackeo de SolarWinds 2020 y nuevamente en el hackeo de correo electrónico basado en Outlook que se reveló la última vez. mes.
Wyden está pidiendo a las autoridades federales que investiguen a Microsoft por sus prácticas de ciberseguridad, que Yoran también alega que contiene problemas claros. “Lo que escuchas de Microsoft es ‘simplemente confía en nosotros’, pero lo que obtienes es muy poca transparencia y una cultura de ofuscación tóxica”, dice.
Recomendado por Nuestros Editores
Microsoft le dice a PCMag que ha abordado completamente la vulnerabilidad para todos los clientes. También afirma que la solución inicial implementada en junio mitigó el problema para la mayoría de los clientes.
Sobre por qué el parche tardó tanto en implementarse, Microsoft indica que lleva tiempo desarrollar una corrección de calidad. “Seguimos un proceso extenso que involucra una investigación exhaustiva, desarrollo de actualizaciones para todas las versiones de los productos afectados y pruebas de compatibilidad entre otros sistemas operativos y aplicaciones”, dice la compañía. “En última instancia, desarrollar una actualización de seguridad es un delicado equilibrio entre la puntualidad y la calidad, al tiempo que garantiza la máxima protección del cliente con una mínima interrupción del cliente”.
Desde que Yoran publicó en LinkedIn, otros ejecutivos de seguridad cibernética han intervenido. «Amit, no podría estar más de acuerdo», escribió.(Se abre en una nueva ventana) George Kurtz, director ejecutivo de la firma de ciberseguridad Crowdstrike. “Dicho en términos simples, Microsoft pone en riesgo a los clientes. Período. Y cuando hay un problema con su arquitectura rota, le echan la culpa a la víctima en lugar de asumir la responsabilidad”.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.